Платформата 1Campaign им помага на малициозни Google реклами да ја избегнат детекцијата

Новоидентификувана сајбер-криминална услуга позната како 1Campaign им овозможува на заканувачките актери да објавуваат малициозни Google Ads реклами кои остануваат онлајн подолг временски период, притоа избегнувајќи проверка од безбедносни истражувачи.

1Campaign е „cloaking“ сервис што успешно го поминува процесот на проверка на Google и прикажува малициозна содржина само на вистински потенцијални жртви. Безбедносните истражувачи и автоматизираните скенери добиваат безопасни (benign) „white page“ страници, со што се избегнува откривање.

Операцијата е активна најмалку три години и е управувана од развивач што го користи псевдонимот „DuppyMeister“, според извештај на компанијата за безбедност на податоци Varonis.

„Алатката ја поминува проверката на Google, ги филтрира безбедносните истражувачи и ги одржува phishing и crypto drainer страниците онлајн што е можно подолго, пренасочувајќи вистински корисници кон страници контролирани од напаѓачите,“ велат истражувачите.

1Campaign на своите „клиенти“ им нуди лесна за користење контролна табла (dashboard), преку која можат да добијат преглед на своите операции и да ги постават параметрите на своите кампањи.

Платформата овозможува филтрирање на посетители во реално време, при што сообраќајот се пренасочува кон различни „landing“ страници врз основа на однапред дефинирани критериуми, вклучувајќи географска локација, интернет провајдер (ISP) и карактеристики на уредот.

Истражувачите од Varonis велат дека овој таргетиран пристап им овозможува на напаѓачите да се фокусираат на корисници во региони каде што phishing-мамката е релевантна, додека истовремено го филтрираат сообраќајот од земји каде што постои поголема веројатност за безбедносен надзор или автоматизирано скенирање.

Во еден случај, Varonis забележал агресивно филтрирање кое блокирало 99,4% од 1.676 посетители што пристапиле до малициозните реклами. Ова се преведува во стапка на „успех“ од само 0,6%, односно 10 посетители – што укажува дека системот е прецизно дизајниран да пропушта само внимателно селектирани цели, а да ги одбива сите останати.

Системот го проценува секој посетител и му доделува оценка за ризик од измама помеѓу 0 и 100. Ова ја одразува веројатноста посетителот да не е вистински, а се добива преку проверка на инфраструктурни детали како cloud провајдери, дата центри, VPN услуги и безбедносни компании.

„Посетителите од Microsoft Corporation, Google, Tencent Cloud Computing, OVH Hosting и други cloud провајдери автоматски се означуваат со високи fraud оценки и се блокираат,“ соопшти Varonis во денешниот извештај.

Врз основа на IP-опсези, ISP и однесувачки обрасци, системот може исто така да утврди дали малициозните реклами се пристапени од безбедносни скенери.

Varonis забележал сообраќај поврзан со 1Campaign кој бил дистрибуиран во САД, Канада, Холандија, Кина, Германија, Франција, Јапонија, Унгарија и Албанија.

Сајбер-криминалната платформа нуди и алатка за лансирање Google Ads која им помага на операторите да започнат и малициозни и легитимни кампањи. Развивачот тврди дека оваа алатка овозможува заобиколување на ограничувањата на политиките на Google и имитација на легитимни брендови во рекламите.

И покрај тоа што Google воведе повеќе заштитни механизми, неговата рекламна платформа сè уште се користи за промовирање измами, малициозен софтвер и crypto-drainer страници. Сепак, 1Campaign се издвојува бидејќи е специјално дизајнирана за лансирање малициозни реклами што ја поминуваат автоматската проверка на Google и најверојатно остануваат активни сè додека жртвите не ги пријават или кампањата не биде рачно пријавена.

Ваквиот cloaking систем го прави статичкото скенирање на URL-адреси помалку ефикасно. Varonis наведува дека користење реалистични browser „fingerprint“ карактеристики и обрасци што имитираат човечка интеракција би овозможило подобри резултати при анализа и детекција.

За автоматизирана детекција, Varonis препорачува ротирање низ разновиден IP-пул и конфигурации на user-agent, со цел да се избегне конзистентно препознавање на fingerprint.

На корисниците им се советува да избегнуваат спонзорирани (promoted) резултати од пребарување или барем да ги третираат со сомнеж, како и да ги зачуваат (bookmark) официјалните канали за дистрибуција на софтвер.

Исто така, се препорачува внимателно проверување на URL-адресата во адресната лента пред внесување на кориснички податоци или други чувствителни информации.

Извори:

• Bleeping Computer – 1Campaign platform helps malicious Google ads evade detection Bleeping Computer